home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / coloredbooks / GreenBook.sit.hqx / Green Book

Wrap

Text File  |  1997-11-17  |  57KB  |  1,341 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8.  A Guide to Understanding Data Remanence in Automated Information
9. Systems
10.  
11.  
12.  
13.  
14.  A Guide to Understanding Data Remanence in Automated Information
15. Systems
16.  
17.  
18.  
19. NCSC-TG-025
20.  
21.  
22. Library No. 5-236,082
23.  
24.  
25. Version-2
26. FOREWORD
27.  
28.  
29.  
30. The National Computer Security Center is issuing A Guide to Understanding
31. Data Remanence in Automated Information Systems as part of the
32. "Rainbow Series" of documents our Technical Guidelines
33. Program produces. In the Rainbow Series, we discuss in detail
34. the features of the Department of Defense Trusted Computer System
35. Evaluation Criteria (DoD 5200.28-STD) and provide guidance for
36. meeting each requirement.  The National Computer Security Center,
37. through its Trusted Product Evaluation Program, evaluates the
38. security features of commercially-produced computer systems. 
39. Together, these programs ensure that organizations are capable
40. of protecting their important data with trusted computer systems.
41.  While data remanence is not a directly evaluated criterion of
42. trusted computing systems, it is an issue critical to the safeguarding
43. of information used by trusted computing systems.
44.  
45.  
46. A Guide to Understanding Data Remanence in Automated Information
47. Systems is intended for use by personnel responsible for the secure
48. handling of sensitive or classified automated information system
49. memory and secondary storage media.  It is important that they
50. be aware of the retentive properties of such media, the known
51. risks in attempting to erase and release it, and the approved
52. security procedures that will help prevent disclosure of sensitive
53. or classified information. This version supersedes CSC-STD-005-85,
54. Department of Defense Magnetic Remanence Security Guideline, dated
55. 15 November 1985.
56.  
57.  
58. As the Director, National Computer Security Center, l invite your
59. suggestions for revising this document. We plan to review this
60. document as the need arises.
61.  
62.  • Patrick R.   Gallagher, JR                               
63.    September 1991
64.  • Director National Computer Security Center
65.  
66.  
67.  
68.  
69.  
70. ACKNOWLEDGMENTS
71.  
72.  
73.  
74. The National Computer Security Center extends recognition to Captain
75. James K. Goldston, United States Air Force, for providing engineering
76. support and as primary author and preparer of this guideline.
77. We thank the many people involved in preparing this document.
78.  Their careful review and input were invaluable.  The National
79. Computer Security Center extends recognition to Dr. Blaine W.
80. Burnham and David N. Kreft, without whom this revision could not
81. have taken place.  Other reviewers that provided much needed input
82. are Carole S. Jordan, Lawrence M. Sudduth, and Kim Johnson-Braun
83. and George L. Cipra.
84. INTRODUCTION
85.  
86.  
87.  
88. Data remanence is the residual physical representation of data
89. that has been in some way erased.  After storage media is erased
90. there may be some physical characteristics that allow data to
91. be reconstructed.  This document discusses the role data remanence
92. plays when storage media is erased for the purposes of reuse or
93. release.
94.  
95.  
96. Various documents have been published that detail procedures for
97. clearing, purging, declassifying, or destroying automated information
98. system (AIS) storage media. [1,2,4, 5, 6, 8,9,13 and 16] The Department
99. of Defense (DoD) published DoD Directive 5200.28, Security Requirements
100. for Automated Information Systems, [17] and its corresponding
101. security manual DoD 5200.28-M, Automated Data Processing Security
102. Manual, [1] in 1972 and 1973, respectively.  These two documents
103. were amended in 1979, in response to the Defense Science Board
104. Task Force recommendation to establish uniform DoD policy for
105. computer security requirements, controls, and measures.  The directive
106. was again revised in March 1988, and efforts are underway to revise
107. the manual.
108.  
109.  
110. DoD 5200.28-M addresses DoD requirements for the secure handling
111. and disposal of AlS memory and secondary storage media.  While
112. the Department of Defense requires the use of DoD Directive 5200.28
113. and DoD 5200.28-M by DoD components, the heads of DoD components
114. may augment these requirements to meet their needs by prescribing
115. more detailed guidelines and instructions provided they are consistent
116. with these policies.  DoD contractors and subcontractors who participate
117. in the Defense Industrial Security Program (DISP) are required
118. to comply with DoD 5220.22-M, Industrial Security Manual
119. for Safeguarding Classified Information. [8]   The Defense Investigative
120. Service is responsible for the promulgation of the policy reflected
121. in DoD 5220.22-M.   Unlike these policy documents, A Guide To
122. Understanding Data Remanence In Automated Information Systems
123. does not provide requirements.
124.  
125.  
126. Sometime during the life cycle of an AIS, its primary and secondary
127. storage may need to be reused, declassified, destroyed, or released.
128.  It is important that security officers, computer operators, and
129. other users or guardians of AS resources be informed of the risks
130. involving the reuse, declassification, destruction, and release
131. of AlS storage media.  They also should be knowledgeable of the
132. risks inherent in changing the sensitivity level of AS storage
133. media or of moving media from an installation with a specific
134. security posture tone that is less secure. They should use proper
135. procedures to prevent a possible disclosure of sensitive information
136. contained on such media.  ("Sensitive" in this document
137. refers to classified and sensitive but unclassified information.)
138.  The procedures and guidelines in this document are based on research,
139. investigation, current policy, and standard practice.
140.  
141.  
142. This guideline is divided as follows:  Section 2 provides information
143. on using this guideline and introduces DoD terminology.  Section
144. 3 discusses the use of degaussers and references the Degausser
145. Products List (DPL), a listing of DoD evaluated degaussers. Section
146. 4, "Risk Considerations," has information similar to
147. that found in version 1 of this document, except for the modification
148. of Section 4.2, "Effects of Heat and Age," and the addition
149. of information on overwriting and degaussing.  Section 5 addresses
150. DoD endorsed erasure standards.  Recently developed storage technologies
151. and disk exercisers are discussed in Section 6.  Section 7 addresses
152. areas needing further investigation and provides references to
153. additional information on the science of magnetics, as it pertains
154. to magnetic remanence.
155. 1.1 PURPOSE
156.  
157.  
158.  
159. The purpose of this publication is to provide information to personnel
160. responsible for the secure handling of sensitive AlS memory and
161. secondary storage media.  (However, this guidance applies to any
162. electronic or magnetic storage media, e.g., instrumentation tape.)
163.  This guideline provides information relating to the clearing,
164. purging, declassification, destruction, and release of most AlS
165. storage media.  While data remanence is not a directly evaluated
166. criterion of trusted computing systems, it is an issue critical
167. to the safeguarding of information used by trusted computing systems
168. and, as such, is addressed in this National Computer Security
169. Center (NCSC) guideline. The NCSC publishes this document because
170. the community using trusted computing systems has expressed the
171. desire for this information.  Additionally, readers should note
172. that this is a guideline only and they should not use it in lieu
173. of policy.
174. 1.2 HISTORY
175.  
176.  
177.  
178. As early as 1960 the problem caused by the retentive properties
179. of AIS storage media (i.e., data remanence) was recognized.  It
180. was known that without the application of data removal procedures,
181. inadvertent disclosure of sensitive information was possible should
182. the storage media be released into an uncontrolled environment.
183.  Degaussing, overwriting, data encryption, and media destruction
184. are some of the methods that have been employed to safeguard against
185. disclosure of sensitive information. Over a period of time, certain
186. practices have been accepted for the clearing and purging of AIS
187. storage media.
188.  
189.  
190. A series of research studies were contracted by the DoD to the
191. Illinois Institute of Technology, Research Institute and completed
192. in 1981 and 1982.  They have confirmed the validity of the degaussing
193. practices as applied to magnetic tape media [19] Additional research
194. conducted at the Carnegie-Mellon University using communication
195. theory and magnetic modeling experiments designed to detect digital
196. information from erased disks has provided test data on the erasability
197. of magnetic disks. [11, 21, and 22] This work, along with DoD
198. research that has not yet been released, provides the basis for
199. the disk degaussing standard.  More studies are planned or underway
200. to ensure the adequacy of DoD degaussing standards.
201.  
202.  
203. On 2 January 1981, the Director of the National Security Agency
204. assumed responsibility for computer security within the Department
205. of Defense. As a result, the Department of Defense Computer Security
206. Center (DoDCSC), officially chartered by DoD Directive 5215.1,
207. was established at the National Security Agency. (3] The DoDCSC
208. Division of Standards (now Division of Standards, Criteria, and
209. Guidelines) was subsequently formed and tasked to support a broad
210. range of computer security related subjects. The DoDCSC became
211. the NCSC in 1985, as amended in National Security Decision Directive
212. 145. [15] As part of its mission to provide information useful
213. for the secure operation of AISs, the NCSC published the Department
214. of Defense Magnetic Remanence Security Guideline, which is version
215. 1 of this guideline.
216. 2. GENERAL INFORMATION
217.  
218.  
219.  
220. An AIS and its storage media should be safeguarded in the manner
221. prescribed for the highest classification of information ever
222. processed by the AIS. That is, until the AIS and its associated
223. storage media are subjected to an approved purging procedure and
224. administratively declassified.  There should be continuous assurance
225. that sensitive information is protected and not allowed to be
226. placed in a circumstance wherein a possible compromise can occur.
227.  There are two primary levels of threat that the protector of
228. information must guard against: keyboard attack (information scavenging
229. through system software capabilities) and laboratory attack information
230. scavenging through laboratory means).   Procedures should be implemented
231. to address these threats before the AlS is procured, and the procedures
232. should be continued throughout the life cycle of the AS.
233. 2.1 USE OF THIS GUIDELINE
234.  
235.  
236.  
237. Designated Approving Authorities and Information System Security
238. Officers (ISSOs) may refer to this guideline when selecting or
239. evaluating specific methods to clear, purge, declassify, or destroy
240. AIS storage media.  DoD components may include the information
241. provided in this guideline in their security training and awareness
242. program; however, they should not use this guideline in lieu of
243. existing policies.
244.  
245.  
246. Guidelines in this document have two degrees of emphasis.  Those
247. that are most important to the secure handling of AIS storage
248. media have such wording as "the 1550 should . . . .,,  Guidance
249. of lesser criticality has such wording as "it is good practice"
250. or "it may be."  Thus, the word "may" denotes
251. less emphasis or concern than the word "should."
252. 2.2 IMPORTANT DEFINITIONS
253.  
254.  
255.  
256. This section provides definitions and their amplification critical
257. to understanding the issues in remanence. A comprehensive glossary
258. follows Section 7.
259.  
260.  
261. Clearing: The removal of sensitive data from an AIS at the end
262. of a period of processing, including from AlS storage devices
263. and other peripheral devices with storage capacity, in such a
264. way that there is assurance, proportional to the sensitivity of
265. the data, that the data may not be reconstructed using normal
266. system apabilities, i.e., through the keyboard.  (This may include
267. use of advanced diagnostic utilities.) An AIS need not be disconnected
268. from any external network before a clear. [1, draft version]
269.  
270.  
271. Clearing can be used when the secured physical environment (where
272. the media was used) is maintained. In other words, the media is
273. reused within the same AIS and environment previously used.
274.  
275.  
276. In an operational computer, clearing can usually be accomplished
277. by an overwrite of unassigned system storage space, provided the
278. system can be trusted to provide separation of the storage space
279. and unauthorized users.  For example, a single overwrite of a
280. file or all system storage, if the circumstance warrants such
281. an action, is adequate to ensure that previous information cannot
282. be reconstructed through a keyboard attack.  Note: Simply removing
283. pointers to a file, which can occur when a file is simply deleted
284. in some systems, will not generally render the previous information
285. unrecoverable through normal system capabilities (i.e., diagnostic
286. routines).
287.  
288.  
289. Purging:  The removal of sensitive data from an AlS at the end
290. of a period of processing, including from AlS storage devices
291. and other peripheral devices with storage capacity, in such a
292. way that there is assurance, proportional to the sensitivity of
293. the data, that the data may not be reconstructed through open-ended
294. laboratory techniques.  An AlS must be disconnected from any external
295. network before a purge. [17]
296.  
297.  
298. Purging must be used when the secured physical environment (where
299. the media was used) will not be maintained.  In other words, media
300. scheduled to be released from a secure facility to a non-cleared
301. maintenance facility or similar non-secure environment must be
302. purged.
303.  
304.  
305. Note: The purging definition allows a hierarchy of data eradication
306. procedures, although current standards do not take advantage of
307. this.  That is, removing data with "assurance, proportional
308. to the sensitivity of the data, that the data may not be reconstructed"
309. implies that standards can be developed to be applied hierarchically.
310.  
311.  
312. For example, a standard could be developed that allowed a security
313. officer to degauss CONFIDENTIAL tapes by 80 db, SECRET tapes by
314. 90 db, etc.  Practice has shown, however, that this is not a feasible
315. approach. Authorized clearing and purging procedures are detailed
316. in DoD 5200.28-M and sometimes further amplified in DoD component
317. regulations.
318.  
319.  
320. 1 Declassification:  A procedure and an administrative action
321. to remove the security classification of the subject media.  
322. The procedural aspect of declassification is the actual purging
323. of the media and removal of any labels denoting classification,
324. possibly replacing them with labels denoting that the storage
325. media is unclassified. The administrative aspect is realized through
326. the submission to the appropriate authority of a decision memorandum
327. to declassify the storage media.
328.  
329.  
330. Whether declassifying or downgrading the storage media, the memorandum
331. should include the following:
332.  
333.  • a. A description of the media (type, manufacturer, model,
334. and serial number).
335.  • b. The media's classification and requested reclassification
336. as a result of this action.
337.  • c. A description of the purging procedures to include the
338. make, model number, and serial number of the degausser used and
339. the date of the last degausser test if degaussing is done; or
340. the accreditation statement of the software if overwriting is
341. done; or the description of and authorization to use the purging
342. procedure if the purging procedure is different from the preceding
343. procedures.
344.  • d. The names of the people executing the procedures and verifying
345. the results.
346.  • e. The reason for the downgrade, declassification, or release.
347.  • f. The concurrence of the data owner that the action is nece,ssary.
348.  • g. The intended recipient or destination of the AIS and storage
349. media.
350.  
351.  
352.  
353.  
354.  
355.  
356.  
357. Coercivlty measured in oersteds (Oe), is a property of magnetic
358. material used as a measure of the amount of applied magnetic field
359. (of opposite polarity) required to reduce magnetic induction to
360. zero from its remanent state, i.e., taking the media from a recorded
361. state to an unrecorded state. Coercivity values are available
362. from the manufacturer or vendor.
363.  
364.  
365. Type I Tape: Magnetic tape with coercivity not exceeding 350 Oe
366. (also known as low-energy tape), for example, iron oxide coated
367. tape.  Note: The maximum coercivity level has changed from 325
368. Oe to 350 Oe.
369.  
370.  
371. Magnetic disks, i.e., oxide particles on a metal substrate, also
372. have varying coercivity levels.  Research has shown, however,
373. that the physical remanence properties of disks are easier to
374. address.  Because of this, disks are treated as Type I media and
375. are discussed in more detail later.
376.  
377.  
378. Type II Tape: Magnetic tape with coercivity ranging from 351 to
379. 750 Oe (also known as high-energy tape), for example, chromium
380. dioxide coated tape.
381.  
382.  
383. The determination of the Types l and II definitions was largely
384. a result of the tape manufacturing industry. Low-energy tapes
385. were developed first, and they have coercivities around 300 Oe
386. + 10%.  The next generation tape was high-energy tape, whose coercivity
387. is around 650 Oe + 10%.  There have been no naturally occurring
388. plateaus for which to define a Type Ill tape. As a practical matter,
389. there are no degaussers that can yet meet the requirements of
390. National Security Agency/Central Security Service (NSA/CSS) Specification
391. Ll 4-4-A for tapes above Type Il. [13]
392.  
393.  
394. Type 111 Tape:  Magnetic tape with coercivity above 750 Oe, for
395. example, cobalt-modified iron oxide coated tape and metallic particle
396. coated tape.  This definition is provided so these media may be
397. discussed.
398.  
399.  
400. Degausser:  A device that can generate a magnetic field for degaussing
401. magnetic storage media.  A Type l degausser can purge Type I tapes
402. and all magnetic disks. A Type Il degausser can purge both Types
403. IA and Il tapes. There are, at present, no Type III degaussers.
404. Currently, all Type 1,11, and Ill tapes may be cleared with a
405. Type l degausser. However, Type Ill tapes with higher than the
406. current maximum coercivity may be developed that would not be
407. clearable with a Type I degausser. Refer to the DPL for Type Ill
408. degausser availability.  Section 3 discusses degaussers further.
409.  
410.  
411. Permanent Magnet Degausser:  A hand-held permanent magnet that
412. has satisfied the requirement to degauss floppy disks, disk platters,
413. magnetic drum surfaces, bubble memory chips, and thin film memory
414. modules.  It is not used to degauss magnetic tape.
415. 2.3 OBJECT REUSE AND DATA REMANENCE
416.  
417.  
418.  
419. The issue of data scavenging on multiuser systems was recognized
420. to be an area of concern long before the DoD 5200.28-STD, Trusted
421. Computer System Evaluation Criteria (TCSEC),[20] became the metric
422. with which to evaluate trusted systems.  The TCSEC reflects this
423. concern with its requirement that a Trusted Computing Base (TCB)
424. have a mechanism that enforces an object reuse policy.  This mechanism
425. must ensure that no user can use the TCB interface to recover
426. another user's data from recycled storage media (e.g., memory
427. or disk pages).  Object reuse in trusted computing systems is
428. comparable (in most respects) to "clearing."
429.  
430.  
431. Object reuse can be implemented so that the address space that
432. contained the object (file) is cleared upon deallocation (the
433. net result is that unallocated address space is cleared) or upon
434. allocation (the net result is that unallocated address space may
435. contain data residue). (Note: There are other ways to implement
436. object reuse which do not involve clearing.) Information from
437. a common data storage pool cannot normally be retrieved through
438. the keyboard.
439.  
440.  
441. Some comparisons have been made between trusted systems that satisfy
442. the object reuse requirement and overwrite programs that do only
443. clearing or purging; however, it should be noted that overwrite
444. programs cannot be trusted in the same sense as trusted systems.
445.  This is primarily because of the environment in which overwrite
446. programs must operate.
447.  
448.  
449. Trusted systems are designed with an object reuse mechanism that
450. is protected and supported by the TCB, substantiating the degree
451. of trust placed in the object reuse mechanism. Commercially available
452. overwrite programs are usually designed to operate on several
453. different systems and are not evaluated with the same rigor as
454. trusted systems; however, any overwrite program should be protected
455. from unauthorized modification. These two security features provide
456. a similar aspect of data confidentiality but satisfy different
457. computer security requirements.
458. 3. DEGAUSSERS
459.  
460.  
461.  
462. DoD 5200.28-M requires that degaussing equipment be tested and
463. approved by a laboratory of a DoD component or a commercial testing
464. laboratory where the evaluation tests may be certified.  Test
465. methods and performance criteria are promulgated in DoD 5200.28-M.
466. National Security Agency/Central Security Service (NSA/CSS) Specification
467. L1 4-4-A, Magnetic Tape Degausser, [13] is an updated version
468. of DoD 5200.28-M degausser testing requirements.  The NSA/CSS
469. has ensured that degausser testing criteria are current by publishing
470. NSA/CSS Specification L1 4-4-A.
471. 3.1 A PRIMER
472.  
473.  
474.  
475. Data are stored in magnetic media by making very small areas called
476. magnetic domains change their magnetic alignment to be in the
477. direction of an applied magnetic field.  This phenomena occurs
478. in much the same way that a compass needle points in the direction
479. of the earth's magnetic field. Degaussing, commonly called erasure,
480. leaves the domains in random patterns with no preference to orientation,
481. thereby rendering previous data unrecoverable.  There are some
482. domains whose magnetic alignment is not randomized after degaussing.
483.  The information that these domains represent is commonly called
484. magnetic remanence.  Proper degaussing will ensure that there
485. is insufficient magnetic remanence to reconstruct the data.
486.  
487.  
488. Erasure via degaussing may be accomplished in two ways: in AC
489. erasure, the media is degaussed by applying an alternating field
490. that is reduced in amplitude over time from an initial high value
491. (i.e., AC powered); in DC erasure, the media is saturated by applying
492. a unidirectional field (i.e., DC powered or by employing a permanent
493. magnet).
494. 3.2 DEGAUSSER TESTING
495.  
496.  
497.  
498. The DoD has adopted the National Security Agency security standard
499. for degaussing equipment, which requires degaussers to reduce
500. a special worst-case analog test signal by 90 decibels (db). 
501. More simply stated, degaussing must reduce the test signal to
502. one billionth (1 part in 109) of its original strength. However,
503. the signals recorded on magnetic media are easier to erase than
504. the worst-case test signal. This signal is a test signal that
505. magnetically saturates a tape and is set forth in references 1
506. and 13.  After the test signal is recorded on the tape, the tape
507. is degaussed and the residual signal is evaluated against the
508. 90 db standard.  This quantifies degausser effectiveness.
509. 3.3 LABELING TAPES
510.  
511.  
512.  
513. It is difficult to distinguish the different types of magnetic
514. tape from appearance alone.  For this reason, it is recommended
515. that responsible personnel ensure that type labels (i.e., Type
516. 1,11, or lll) are applied to the tape reels upon initial use.
517. The label should remain on the reel until the tape is cut from
518. the reel or the reel is destroyed.
519.  
520.  
521. In some cases, adding another label to the tape could introduce
522. the possibility of operator error in shops where the reel is already
523. crowded with labels.  Some facilities require the security officer
524. to use the manufacturer's label to determine tape coercivity.
525. In any case, strict inventory controls should be in place to ensure
526. that tapes can be identified by type so the correct purge procedure
527. is used.
528. 3.4 DEGAUSSER PRODUCTS LIST (DPL)
529.  
530.  
531.  
532. The list of magnetic degaussers that satisfy the requirements
533. in NSA/CSS Specification L1 4-4-A is included in the NSA's Information
534. Systems Security Products and Services Catalogue [10] as the DPL.
535.  The catalogue is updated quarterly and is available through the
536. U.S. Government Printing Office.
537. 3.5 DEGAUSSING EQUIPMENT FAILURE
538.  
539.  
540.  
541. Because of the possibility of equipment failure, degaussing equipment
542. should be periodically tested to verify correct operation throughout
543. the life cycle of the equipment.  Preventive maintenance should
544. be done on a regular schedule to preclude mechanical or electrical
545. problems.   Some manufacturers have maintenance contracts and
546. recommended maintenance schedules to ensure the integrity of the
547. degaussing procedure.
548.  
549.  
550. To provide a rough estimate of degausser effectiveness, an on-site
551. test of generated magnetic field strength may be done by using
552. a gaussmeter for some models of Type l degaussers. (Some Type
553. l degaussers cannot be tested in this manner because the degaussing
554. field is not accessible.)  However, a more extensive test is required
555. to maintain an adequate degree of assurance that the degausser
556. is operating correctly. Both Type l and ll degaussers may be periodically
557. tested more extensively by testing against the 90 db test signal
558. strength reduction requirement in NSA/CSS Specification L1 4-4-A
559. using the following procedure: have the tape prerecorded with
560. the specified test signal (in a testing laboratory), degauss the
561. tape, then return the tape to the laboratory where it can be tested
562. for the remanent signal level. [13] Check with local authorities
563. or engineering personnel to determine if such a service is available
564. to your organization. There are two companies listed in the DPL,
565. Integra Technologies Corporation and Data Security, Incorporated,
566. that can test an installed degausser's effectiveness.
567.  
568.  
569. Although this periodic test is not a DoD requirement, it is highly
570. recommended.
571.  
572.  
573. After a degausser is installed, it should be tested periodically
574. (approximately every six months) for its first two years of operation.
575. This data can be used to develop a histogram of the degausser's
576. operation.  Based on this information, an informed decision can
577. be made about extending the interval between testing, e.g., every
578. 9 months, yearly, every 18 months, etc.
579.  
580.  
581. Note that it is erroneous to assume that even a newly installed
582. degausser, let alone a degausser several years old, is providing
583. sufficient erasure.  It is not prudent to rely upon one DoD evaluation
584. of the degausser manufacturer's product line because of possible
585. product failure.
586. 4. RISK CONSIDERATIONS
587.  
588.  
589.  
590. Many risks should be considered when reuse or release of AIS storage
591. media is anticipated.  AIS security personnel, operations personnel,
592. users, and other designated responsible persons should be aware
593. of these risks before attempting to declassify or make any decision
594. to release storage media.
595. 4.1 DESTINATION OF RELEASED MEDIA
596.  
597.  
598.  
599. The risk of compromise of sensitive data increases when AlS storage
600. media is released for any reason outside of the controlled environment.
601.  Personnel should consider the media's destination when evaluating
602. this risk.
603. 4.2 EFFECTS OF HEAT AND AGE
604.  
605.  
606.  
607. Version 1 of this document reported that magnetic media stored
608. for either an extended period of time or under high temperature
609. conditions (120 degrees Fahrenheit or greater) becomes more difficult
610. to degauss or erase.  Additional research is in progress to validate
611. the effects of heat and age on the erasure process. [14]
612. 4.3 MECHANICAL STORAGE DEVICE EQUIPMENT FAILURE
613.  
614.  
615.  
616. Some of the early disk drives required manual alignment of read/write
617. heads.  The effectiveness of an overwrite on this technology base
618. may be reduced because of equipment failure or mechanical faults,
619. such as misalignment of read/write heads.  Hardware preventive
620. maintenance procedures should be done on schedule, and records
621. should be maintained in an effort to prevent this problem.
622. 4.4 STORAGE DEVICE SEGMENTS NOT RECEPTIVE TO OVERWRITE
623.  
624.  
625.  
626. A compromise of sensitive data may occur if media is released
627. when an addressable segment of a storage device (such as unusable
628. or "bad" tracks in a disk drive or inter-record gaps
629. in tapes) is not receptive to an overwrite.  As an example, a
630. disk platter may develop unusable tracks or sectors; however,
631. sensitive data may have been previously recorded in these areas.
632.  It may be difficult to overwrite these unusable tracks. Before
633. sensitive information is written to a disk, all unusable tracks,
634. sectors, or blocks should be identified (mapped).  During the
635. life cycle of a disk, additional unusable areas may be identified.
636. If this occurs and these tracks cannot be overwritten, then sensitive
637. information may remain on these tracks.  In this case, overwriting
638. is not an acceptable purging method and the media should be degaussed
639. or destroyed.
640. 4.5 OVERWRITE SOFTWARE AND CLEARING
641.  
642.  
643.  
644.  Overwriting is an effective method of clearing data.  In an operational
645. system, an overwrite of unassigned system storage space can usually
646. accomplish this, provided the system can be trusted to provide
647. separation of system resources and unauthorized users. For example,
648. a single overwrite of a file (or all system storage, if the circumstance
649. warrants such an action) is adequate to ensure that previous information
650. cannot be reconstructed through a keyboard attack.  Note: Simply
651. removing pointers to the file will not generally render the previous
652. information unrecoverable.  Software used for clearing should
653. be under strict configuration controls.  See A Guide to Understanding
654. Configuration Management in Trusted Systems for additional information
655. on this subject. [7]
656. 4.6 OVERWRITE SOFTWARE AND PURGING
657.  
658.  
659.  
660.  The DoD has approved overwriting and degaussing for purging data,
661. although the effectiveness of overwriting cannot be guaranteed
662. without examining each application.  If overwriting is to be used
663. in a specific application, software developers must design the
664. software such that the software continues to write to all addressable
665. locations on the media, in spite of intermediate errors. All such
666. errors in usable sectors should be reported with a listing of
667. current content.  In addition, unusable sectors must be completely
668. overwritten, because the unusable sector list will not show whether
669. the sector ever contained any sensitive data.  If any errors occur
670. while overwriting or if any unusable sector could not be overwritten,
671. then degaussing is required.
672.  
673.  
674. There are additional risks to trusting overwrite software to purge
675. disks.  The environment in which the software must operate is
676. difficult to constrain.  For this reason, care must be exercised
677. during software development to ensure the software cannot be subverted.
678. The overwrite software should be protected at the level of the
679. media it purges, and strict configuration controls should be in
680. place on both the operating system the software must run under
681. and the software itself. The overwrite software must be protected
682. from unauthorized modification. [7]
683. 4.7 CONTRACTUAL OBLIGATION
684.  
685.  
686.  
687. Leased equipment containing nonremovable magnetic storage media
688. should not be returned to the vendor unless the media is declassified
689. using an approved procedure.  Problems may be encountered obtaining
690. warranty repair service or returning the equipment at termination
691. of lease.  Contractual maintenance agreements should address the
692. issue of degaussed media and its effect on equipment warranties.
693. 4.8 MAINTENANCE
694.  
695.  
696.  
697. Proper purging is especially important in relation to maintenance,
698. whether routine or not. Purge procedures should be conducted and
699. the device declassified before uncleared personnel undertake maintenance
700. actions.   If purging is impractical, prohibitively expensive,
701. or could destroy the device, then precautions should be taken
702. to reduce the threat to sensitive information on the device. 
703. Maintenance actions should be observed by an individual who has
704. been provided with guidance so that improper actions can be discerned
705. and unauthorized disclosure can be prevented.
706.  
707.  
708. If test and diagnostic equipment (T & DE) is used on an AIS
709. that has not been purged, there is a possibility that the T &
710. DE can capture sensitive information. To prevent unauthorized
711. disclosure, the T & DE should either be purged after use or
712. remain safeguarded at the highest level of information resident
713. on the AIS.
714.  
715.  
716. For example, if a sensitive disk drive is serviced, the escort
717. official should know that the maintenance person is not allowed
718. to remove the damaged disk from the facility.  The escort also
719. should be capable of identifying when a maintenance person has
720. altered the protective characteristics of the device.
721. 4.9 DATA SENSITIVITY
722.  
723.  
724.  
725. AlS storage media may have contained information so sensitive
726. that authorities decided to never allow declassification of the
727. AlS or its storage media. Examples of such sensitive information
728. are communications security (COMSEC) information marked CRYPTO
729. or Single Integrated Operational Plan (SlOP) information. In these
730. cases, the holder of the media should not attempt to declassify
731. or release the media except as directed by proper organizational
732. approving authorities. [9]  Destruction may be the only alternative
733. to indefinite storage of such highly sensitive media.
734. 4.10 DEGAUSSING
735.  
736.  
737.  
738. Although degaussing is the best method for purging most magnetic
739. storage media, it is not without risk. Degaussers can be used
740. improperly. For example, the media may be removed before the degaussing
741. cycle is complete. Also, degaussers can fail or have a reduced
742. capability over time.  Good degausser design can alleviate much,
743. but not all, of this risk. This risk can be mitigated by periodic
744. testing (see Section 3.5, "Degaussing Equipment Failure").
745.  
746.  
747. Mistakenly using a Type l degausser to purge Type ll tape is another
748. risk. Type I degaussers cannot purge Type ll tape. Magnetic tape
749. should have a label applied to the reel that identifies the coercivity
750. of the media, because coercivity cannot always be distinguished
751. by physical appearance. Strict inventory controls should be in
752. place to ensure tapes can be identified by type so the correct
753. purge procedure is used. If type labels are used, they should
754. not be removed from the reel unless the tape is cut from the reel
755. or the reel itself is destroyed.  Labels that show classification
756. should not be removed from the reel until the media is declassified.
757.  See Section 3.3, "Labeling Tapes," for more information
758. about labels.
759. 5. STANDARDS
760.  
761. 5.1 GENERIC PROCEDURES
762.  
763.  
764.  
765. There are two primary procedures allowed by DoD policy for clearing
766. and purging AIS memory and secondary storage media that have processed
767. sensitive information: overwriting and degaussing. [1] Other procedures
768. are media specific and this section details them where appropriate.
769.  The need for destruction arises when the media reaches the end
770. of its useful life.
771. 5.1.1 OVERWRITING
772.  
773.  
774.  
775. Overwriting is a process whereby unclassified data are written
776. to storage locations that previously held sensitive data.  To
777. satisfy the DoD clearing requirement, it is sufficient to write
778. any character to all data locations in question.  To purge the
779. AIS storage media, the DoD requires overwriting with a pattern,
780. then its complement, and finally with another pattern; e.g., overwrite
781. first with 0011 0101, followed by 11001010, then 1001 0111. The
782. number of times an overwrite must be accomplished depends on the
783. storage media, sometimes on its sensitivity, and sometimes on
784. differing DoD component requirements. In any case, a purge is
785. not complete until a final overwrite is made using unclassified
786. data.
787. 5.1.2 DEGAUSSING
788.  
789.  
790.  
791. Degaussing is a process whereby the magnetic media is erased,
792. i.e., returned to its initial virgin state. To satisfy the DoD
793. requirement on degaussing a classified magnetic tape, the degausser
794. must have met DoD testing requirements as discussed in Section
795. 3, "Degaussers."
796. 5.1.3 DESTRUCTION
797.  
798.  
799.  
800. It is good practice to purge media before submitting it for destruction.
801.  Media may generally be destroyed by one of the following methods.
802. (Although approved methods, options d and e use acid, which is
803. dangerous and excessive, to remove recording surfaces. Options
804. a, b, and c are recommended over d and e.)
805.  
806.  • a. Destruction at an approved metal destruction facility,
807. i.e., smelting, disintegration, or pulverization.
808.  • b. Incineration.
809.  • c. Application of an abrasive substance (emery wheel or disk
810. sander) to a magnetic disk or drum recording surface. Make certain
811. that the entire recording surface is completely removed before
812. disposal.  Also, ensure proper protection from inhaling the abraded
813. dust.
814.  • d. Application of concentrated hydriodic acid (55% to 58%
815. solution) to a gamma ferric oxide disk surface.  Acid solutions
816. should be used in a well-ventilated area only by qualified personnel.
817.  • e. Application of acid activator Dubais Race A (8010 181 7171)
818. and stripper Dubais Race B (8010 181 7170) to a magnetic drum
819. recording surface.  Technical acetone (6810 184 4796) should then
820. be applied to remove residue from the drum surface. The above
821. should be done in a well-ventilated area, and personnel must wear
822. eye protection.  Extreme caution must be observed when handling
823. acid solutions.  This procedure should be done only by qualified
824. and approved personnel.
825.  
826.  
827.  
828.  
829.  
830.  
831.  
832. For additional information on destruction techniques and emergency
833. destruction, see Institute for Defense Analyses (IDA) Report R-321,
834. Emergency Destruction of Information Storing Media. [6]
835. 5.2 SPECIFIC PROCEDURES
836.  
837.  
838.  
839. DoD 5200.28-M provides accepted DoD procedures to clear, purge,
840. declassify, and destroy storage media.  This section, "Standards,"
841. is a reflection of those procedures but does not provide the entire
842. procedure (e.g., use three overwrites to purge disks). This is
843. because these standards are evolving and this document, A Guide
844. to Understanding Data Remanence in Automated Information Systems,
845. is not to be construed as replacing policy.
846. 5.2.1 MAGNETIC TAPES
847.  
848.  
849.  
850. Although overwriting can be used for clearing this media, the
851. method is time consuming and generally never used. Also, inter-record
852. gaps may preclude proper clearing. A better method for clearing
853. Type 1,11, and Ill tapes is degaussing with a Type l or Type II
854. degausser. This procedure is considered acceptable for clearing,
855. but not purging, all types of tapes.
856.  
857.  
858. Degaussing with an appropriate degausser is the only method the
859. DoD accepts for purging this media.  Specifically, a Type I degausser
860. can purge only Type tapes, and Type II degaussers can purge Types
861. l and Il tapes.  No degausser presently exists that is capable
862. of purging Type III tapes in accordance with NSA/CSS Specification
863. L1 4-4-A.
864. 5.2.2 MAGNETIC HARD DISKS
865.  
866.  
867.  
868. The DoD has approved both overwriting and degaussing as methods
869. to clear or purge this media.  See Section 4, "Risk Considerations,"
870. and DoD 5200.28-M for additional information. Degaussed disks
871. will generally require restoration of factory installed timing
872. tracks.  Type I degaussers and approved hand-held magnets can
873. purge this media up to a coercivity level of 1100 oersteds. If
874. hand-held magnets are used, then the magnet must be placed in
875. almost direct contact with the disk, separated by only a tissue
876. to prevent scratching the disk. Sometimes it is possible to insert
877. the magnet between the platters without disassembling them.  As
878. a practical matter, if the drive must be disassembled, it is usually
879. easier to destroy the platters than to degauss and then reinstall
880. them.
881.  
882.  
883. Recently completed research has indicated that degaussing is an
884. effective method to purge rigid disk media. Large cavity degaussing
885. equipment can be used to erase the data from sealed disk packs
886. and Winchester style hard disk drives while the platters remain
887. in the drive. Care must be exercised to ensure that the disk drive
888. is not encasqd in a material that conducts a magnetic field. Research
889. has shown that aluminum housings on Winchester disk drives attenuate
890. the degaussing field by only about 2 db. Operational guidance
891. is now being developed for the DoD.
892. 5.2.3 MAGNETIC DRUMS
893.  
894.  
895.  
896. The DoD has approved both overwriting and degaussing as methods
897. to clear or purge this media.  See Section 4, "Risk Considerations,"
898. and DoD 5200.28-M for additional information.  Type l degaussers
899. and approved hand-held magnets can purge this media, with the
900. latter being the only practical alternative.
901. 5.2.4 MAGNETIC FLOPPY DISKS AND CARDS
902.  
903.  
904.  
905. The DoD has approved overwriting for clearing, but not purging,
906. magnetic floppy disks. Degaussing is the preferred method. The
907. technology of magnetic cards is old and not generally used. Degaussing
908. with Type I degaussers or approved hand-held magnets is the only
909. DoD accepted method of purging floppy disks and cards, regardless
910. of their coercivity. See DoD 5200.28-M for additional information.
911. 5.2.5 MAGNETIC CORE MEMORY
912.  
913.  
914.  
915. The DoD has approved both overwriting and degaussing as methods
916. to clear or purge magnetic core memory.  Type l degaussers and
917. hand-held magnets can purge this media. See DoD 5200.28-M for
918. additional information.
919. 5.2.6 PLATED WIRE MEMORY
920.  
921.  
922.  
923. There are restrictions on overwriting magnetic plated wire memory
924. based on the amount of time that information was resident in the
925. same memory location.  See DoD 5200.28-M for additional information.
926. 5.2.7 THIN FILM MEMORY
927.  
928.  
929.  
930. The DoD has approved both overwriting and degaussing as methods
931. to clear or purge thin film memory. Type l degaussers and approved
932. hand-held magnets can purge this media.
933. 5.2.8 MAGNETIC BUBBLE MEMORY
934.  
935.  
936.  
937. The DoD has approved both overwriting and degaussing as methods
938. to clear or purge magnetic bubble memory.  An alternative procedure
939. for magnetic bubble memory modules that have been designed with
940. a built-in bias voltage control is to adjust (i.e., raise) the
941. bias voltage to a level that would cause ttr;e collapse of all
942. the magnetic bubbles. On some bubble devices a chip erase is invoked
943. by pulsing the z-coil. If the memory was designed with a bias
944. control, information will be available from the vendor on the
945. correct bias voltage level to apply to cause the collapse of all
946. the magnetic bubbles. Type l degaussers and approved hand-held
947. magnets can purge this media.  Degaussed bubble memory will generally
948. require reinitialization with programs available from the manufacturer.
949.  Bubble memory has not been shown to exhibit any magnetic remanence
950. after application of any of these purging methods.
951. 5.2.9 RANDOM ACCESS MEMORY (RAM)
952.  
953.  
954.  
955. The DoD has approved both overwriting and removal of power as
956. methods to clear or purge RAM. See DoD 5200.28-M for additional
957. information.
958. 5.2.10 READ ONLY MEMORY (ROM)
959.  
960.  
961.  
962. Because data is permanently stored in ROM, clearing and purging
963. this media has no relevance. See DoD 5200.28-M for additional
964. information.
965. 5.2.11 ERASABLE PROGRAMMABLE READ ONLY MEMORY (UVPROM)
966.  
967.  
968.  
969. The DoD has approved the use of ultraviolet light to clear or
970. purge UVPROM.
971.  
972.  
973. See DoD 5200.28-M for additional information.
974. 5.2.12 ELECTRICALLY ERASABLE READ ONLY MEMORY (EEPROM)
975.  
976.  
977.  
978. The DoD has approved different forms of overwriting (e.g., single-step
979. chip erase, individual overwriting, etc.) as methods to clear
980. or purge EEPROM. See DoD 5200.28-M for additional information.
981. 6. OTHER STORAGE AND OVERWRITE TECHNOLOGY
982.  
983. 6.1 OPTICAL DISKS
984.  
985.  
986.  
987. The following are examples of optical disks:  CD-ROM (ReadOnly),
988. WORM (WriteOnce~ReadMany), and magneto-optical (ReadManyWriteMany).
989.  Currently, no procedures exist that are considered adequate to
990. ensure purging of these media.  Magneto-optical disk technology
991. uses a combination of laser optics and magnetics to obtain data
992. densities far surpassing those of magnetic disks alone.  Magneto-optical
993. disks can be cleared by a single overwrite, although purging by
994. overwrite is not considered adequate.
995. 6.2 FERROMAGNETIC RAM
996.  
997.  
998.  
999. This technology couples magnetics with semiconductor random access
1000. memory to provide data retention after power is removed.  There
1001. have been no standards published providing procedures to ensure
1002. clearing or purging of these media.  However, consistency with
1003. all other types of storage media would dictate that a single overwrite
1004. is sufficient for clearing.
1005. 6.3 DISK EXERCISERS
1006.  
1007.  
1008.  
1009. As noted earlier in Section 4.6, "Overwrite Software and
1010. Purging," many drawbacks exist to using overwrite software
1011. for purging disks.  Some of these drawbacks are not applicable
1012. to disk exercisers, which use a dedicated operating system.  Winchester
1013. disk manufacturers use disk exercisers to do as their name implies-put
1014. Winchester disk drives through their paces.  To purge a Winchester
1015. drive, the Winchester unit must be plugged into the disk exerciser.
1016.  The disk exerciser is able to write to any part of a disk regardless
1017. of whether the operating system labeled the sector unusable. 
1018. Some of these "exercisers" also have the capability
1019. of writing at different frequencies.  This makes them a more effective
1020. alternative to overwrite software; however, their ability to purge
1021. disks has not been tested.
1022. 7. FUTURE DIRECTIONS
1023.  
1024.  
1025.  
1026. Several areas in data remanence can benefit from more investigation.
1027. After the adequacy of overwrites to ensure purging is determined,
1028. the use of disk exercisers for the purging of magnetic disks should
1029. be researched. Because of the increasing use of magneto-optical
1030. disks, research should be initiated on methods to purge this media
1031. also.
1032.  
1033.  
1034. A good primer on magnetic coatings used for disks and tapes is
1035. Particulate Magnetic Recording: A Review, by Michael P. Sharrock.
1036. [18]  For a discourse on future storage trends, see Data Storage
1037. in 2000-Trends in Data Storage Technologies, by Mark H. Kryder.
1038. [12]  The IEEE Transactions on Magnetics provides a wealth of
1039. information on the field of magnetics1 with entire sections devoted
1040. to engineering-level discussions related to magnetic remanence
1041. in AIS storage media.
1042.  
1043.  
1044. Announcements concerning cavity degaussers should be forthcoming.
1045. See the Degausser Products List for these announcements and for
1046. announcements about decisions concerning magnetic media degaussing.
1047.  
1048.  
1049. DoD policy, procedures, and guidance need continual refinement
1050. to keep pace with the evolving storage technologies. Although
1051. there is no focal point responsible for ensuring erasure standards
1052. are current, various agencies have sponsored research that has
1053. ensured our erasure standards provide an adequate degree of security.
1054.  This has caused duplication of effort at times, but it has also
1055. provided additional validation of earlier work. However, a focal
1056. point would ensure research is duplicated only when necessary.
1057. As storage technology advances and clear and purge procedures
1058. are developed and refined, this guideline will be periodically
1059. updated to reflect the changes. DoD 5200.28-M should be updated
1060. also.
1061. GLOSSARY
1062.  
1063.  
1064.  
1065. Automated Information System.  An assembly of computer hardware,
1066. firmware, and/or software configured to collect, create, communicate,
1067. compute, disseminate, process, store, and/or control data or information.
1068.  
1069.  
1070. AlS Storage Media. The physical substance(s) used by an AS system
1071. upon which data are recorded.
1072.  
1073.  
1074. Clearing AIS Storage Media. Removal of sensitive data from an
1075. AS at the end of a period of processing, including from AlS storage
1076. devices and other peripheral devices with storage capacity, in
1077. such a way that there is assurance, proportional to the sensitivity
1078. of the data, that the data may not be reconstructed using normal
1079. system capabilities, i.e., through the keyboard. An AlS need not
1080. be disconnected from any external network before a clear.
1081.  
1082.  
1083. Coercive Force.  A negative or reverse magnetic force applied
1084. for reducing magnetic induction to zero.
1085.  
1086.  
1087. Coerciviry. The amount of applied magnetic field (of opposite
1088. polarity) required to reduce magnetic induction to zero. It is
1089. often used to represent the ease with which magnetic media can
1090. be degaussed.
1091.  
1092.  
1093. Configuration Control.  The process of controlling modifications
1094. to the system's hardware, firmware, software, and documentation
1095. that provide sufficient assurance that the system is protected
1096. against the introduction of improper modifications before, during,
1097. and after system implementation.   Compare "configuration
1098. management."
1099.  
1100.  
1101. Configuration Management.   The management of security features
1102. and assurances through control of changes made to a system's hardware,
1103. software, firmware, documentation, test, test fixtures and test
1104. documentation throughout the development and operational life
1105. of the system. Compare "configuration control."
1106.  
1107.  
1108. Data. A representation of facts, concepts, information, or instructions
1109. suitable for communication, interpretation, or processing by humans
1110. or by an AIS.
1111.  
1112.  
1113. Declassification of AlS Storage Media.  A procedure and an administrative
1114. decision to remove the security classification of the subject
1115. media.
1116.  
1117.  
1118. Degausser. A device that can generate a magnetic field for degaussing
1119. magnetic storage media.
1120.  
1121.  
1122. Degausslng.  To reduce magnetic induction to zero by applying
1123. a reverse magnetizing field. Also called "demagnetizing."
1124.  
1125.  
1126. Degausser Products List (DPL). A list of commercially produced
1127. degaussers that meet National Security Agency specifications as
1128. set forth in reference 13.  The National Security Agency includes
1129. this list in their Information Systems Security Products and Services
1130. Catalogue.
1131.  
1132.  
1133. Designated Approving Authority (DAA).  The official who has the
1134. authority to decide to accept the security safeguards prescribed
1135. for an AlS or the official who may be responsible for issuing
1136. an accreditation statement that records the decision to accept
1137. those safeguards. The DAA must be at an organizational level such
1138. that he or she has the authority to evaluate the overall mission
1139. requirements of the AlS and provide definitive directions to AlS
1140. developers or owners relative to the risk in the security posture
1141. of the AIS.
1142.  
1143.  
1144. Downgrade.  A procedure and an administrative decision to reduce
1145. the security classification of the subject media.
1146.  
1147.  
1148. Erasure. A process by which data recorded on storage media is
1149. removed.
1150.  
1151.  
1152. Gauss.  A unit mea,sure of the magnetic flux density produced
1153. by a magnetizing force.
1154.  
1155.  
1156. InformatIon System Security Officer (1550). The person responsible
1157. to the DAA for ensuring that security is provided for and implemented
1158. throoghout the life cycle of an AS from the beginning of the system
1159. concept development phase through its design, development, operation,
1160. maintenance, and secure disposal.
1161.  
1162.  
1163. Information Systems Security Products and Services Catalogue (INFOSEC
1164. Catalog).  A catalog issued quarterly by the National Security
1165. Agency to assist in the selection of products and services that
1166. will provide an appropriate level of information security.  The
1167. National Security Agency issues the DPL in this publication, which
1168. is available through the Government Printing Office. Inter-Record
1169. Gap. The "area" between data records on a magnetic tape.
1170. Keyboard Attack. Data scavenging through resources available to
1171. normal system users, which may include advanced software diagnostic
1172. tools.
1173.  
1174.  
1175. Laboratory Attack. Data scavenging through the aid of what could
1176. be precise or elaborate equipment.
1177.  
1178.  
1179. Magnetic Field Intensity.  The magnetic force required to produce
1180. a desired magnetic flux, given as the symbol H (see definition
1181. of "oersted").
1182.  
1183.  
1184. Magnetic Flux. Lines of force representing a magnetic field.
1185.  
1186.  
1187. Magnetic Flux Density.  The representation of the strength of
1188. a magnetic field, given as the symbol B (see definition of "gauss").
1189.  
1190.  
1191. Magnetic Remanence. The magnetic flux density that remains in
1192. a magnetic circuit after the removal of an applied magnetic field.
1193. For discussion purposes, it is better to characterize magnetic
1194. remanence as the magnetic representation of residual information
1195. that remains on magnetic media after the media has been erased.
1196.  
1197.  
1198. Magnetic Saturation. The condition in which an increase in magnetizing
1199. force will produce little or no increase in magnetization.
1200.  
1201.  
1202. Object Reuse. The reassignment to some subject of a medium (e.g.,
1203. page frame, disk sector, or magnetic tape) that contained one
1204. or more objects. To be securely reassigned, no residual data from
1205. the previously contained object(s) can be available to the new
1206. subject through standard system mechanisms.
1207.  
1208.  
1209. Oersted. A unit of magnetic field strength.
1210.  
1211.  
1212. Overwrite Procedure. A procedure to destroy data recorded on AIS
1213. storage media by recording patterns of unclassified data over
1214. the data stored on the media.
1215.  
1216.  
1217. Permanent Magnet Degausser.  Hand-held permanent magnet that generates
1218. a magnetic field for degaussing magnetic storage media.
1219.  
1220.  
1221. Purge.  The removal of sensitive data from an AIS at the end of
1222. a period of processing, including from AIS storage devices and.
1223. other peripheral devices with storage capacity, in such a way
1224. that there is assurance proportional to the sensitivity of the
1225. data that the data may not be reconstructed through open-ended
1226. laboratory techniques.  An AIS must be disconnected from any external
1227. network before a purge.
1228.  
1229.  
1230. Remanence. The residual information that remains on storage media
1231. after erasure.
1232.  
1233.  
1234. Scavenging.  Searching through object residue (file storage space)
1235. to acquire unauthorized data.
1236.  
1237.  
1238. Trusted Computer System Evaluation Criteria (TCSEC). A document
1239. published by the National Computer Security Center containing
1240. a uniform set of basic requirements and evaluation classes for
1241. assessing degrees of assurance in the effectiveness of hardware
1242. and software security controls built into systems. These criteria
1243. are intended for use in the design and evaluation of systems that
1244. will process and/or store sensitive or classified data. This document
1245. is DoD 5200.28-STD and is often called The Criteria or The Orange
1246. Book.
1247.  
1248.  
1249. Trusted Computing Base (TCB).  The totality of protection mechanisms
1250. within a computer system, including hardware, firmware, and software,
1251. the combination of which is responsible for enforcing a security
1252. policy. A TCB consists of one or more components that together
1253. enforce a unified security policy over a product or system.  The
1254. ability of a TCB to correctly enforce a security policy depends
1255. solely on the mechanisms within the TCB and on the correct input
1256. by system administrative personnel of parameters (e.g., a user's
1257. clearance) related to the security policy.
1258.  
1259.  
1260. Trusted Computing System.  A system that employs sufficient hardware
1261. and software integrity measures to allow its use for simultaneously
1262. processing a range of sensitive or classified information.
1263.  
1264.  
1265. Type l Tape. Magnetic tape whose coercivity does not exceed 350
1266. oersteds (also known as low-energy tape).
1267.  
1268.  
1269. Type II Tape. Magnetic tape whose coercivity ranges from 351 oersteds
1270. up to 750 oersteds (also known as high-energy tape).
1271.  
1272.  
1273. Type III Tape. Magnetic tape whose coercivity exceeds 750 oersteds.
1274. REFERENCES
1275.  
1276.  
1277.  • 1. Automated Data Processing Security Manual, Department of
1278. Defense Manual, DoD 5200.28-M, January 1973 with change pages
1279. in June 1979 (now under revision).
1280.  • 2. Care and Handling of Computer Magnetic Storage Media, Department
1281. of Commerce, National Bureau of Standards Special Publication
1282. 500-101, June 1983.
1283.  • 3. Computer Security Evaluation Center, Department of Defense
1284. Directive, DoDD 5215.1,25 October 1982.
1285.  • 4. Department of the Navy Automated Data Processing Security
1286. Program, Chief of Naval Operations Instruction, OPNAVlNST 5239.1A
1287. with change 1, 3 August 1982.
1288.  • 5. Department of the Navy Automated Information System Security
1289. Program, Secretary of the Navy Instruction, SECNAVINST 5239.2,
1290. 1 November 1989.
1291.  • 6. "Emergency Destruction of Information Storing Media,"
1292. Institute for Defense Analyses Report, R-321, December 1987.
1293.  • 7. A Guide to Understanding Configuration Management in Trusted
1294. Systems, National Computer Security Center Technical Guideline,
1295. NCSC-TG-006, Version 1,28 March 1988.
1296.  • 8. Industrial Security Manual for Safeguarding Classified
1297. Information, Department of Defense Manual, DoD 5220.22-M, June
1298. 1987.
1299.  • 9. Information Systems Security, Army Regulation, AR 380-19,
1300. 4 September 1990.
1301.  • 10. Information Systems Security Products and Services Catalogue,
1302. National Security Agency, quarterly publication.
1303.  • 11. Katti, Romney R., "Erasure in Magnetic Recording
1304. Media," doctoral dissertation, Carnegie-Mellon University,
1305. 12 April 1988.
1306.  • 12. Kryder, Mark H., "Data Storage in 2000-Trends in
1307. Data Storage Technologies," IEEE Transactions on Magnetics,
1308. VoI. 25, No. 6, November 1989.
1309.  • 13. Magnetic Tape Degausser, National Security Agency/Central
1310. Security Service (NSA/CSS) Specification L1 4-4-A, 31 October
1311. 1985.
1312.  • 14. Mountfield, K. R., and M. H. Kryder, "The Effect
1313. of Erasure in Particulate Disk Media," IEEE Transactions
1314. On Magnetics, Vol. 25, No. 5, September 1989.
1315.  • 15. National Policy on Telecommunications and Automated Information
1316. Systems Security, National Security Decision Directive, NSDD 145,
1317. 17 September 1984.
1318.  • 16. Remanence Security, Air Force Systems Security Instruction,
1319. AFSSI 5020,15 April 1991.
1320.  • 17. Security Requirements for Automated Information Systems,
1321. Department of Defense Directive, DoDD 5200.28, March 1988.
1322.  • 18. Sharrock, Michael P., "Particulate Magnetic Recording:
1323. A Review," lEEE Transactions on Magnetics, Vol. 25, No. 6,
1324. November 1989.
1325.  • 19. "Signal Processing Applications Techniques to Magnetic
1326. Erasrnre Data," Illinois Institute of Technology, Research
1327. Institute, Final Reports for Projects E06522, K06005, and K06051,
1328. February 1982, September 1982, and March 1984 respectively.
1329.  • 20. Trusted Computer System Evaluation Criteria, Department
1330. of Defense Standard, DoD 5200.28-STD, December 1985.
1331.  • 21. Veeravalli, Venugopal V., "Detection of Digital Information
1332. From Erased Magnetic Disks," masters thesis, Carnegie-Mellon
1333. University, 1987.
1334.  • 22. Wiesen, Kurt, "Modeling of Magnetic Media,"
1335. masters thesis, Carnegie-~eIlon University, July 1986.
1336.  
1337.  
1338.  
1339.  
1340.  
1341. T